在生产中使用cacert SSL证书代替自签名证书是个好主意吗？

在工作中，我有一堆使用纯http或自签名证书的Web界面（负载均衡器管理界面，内部Wiki，仙人掌等）。

从外部特定VLAN /网络无法访问。

对于家庭使用，我使用cacert SSL证书。

我想知道我是否应该建议我的雇主使用cacert SSL证书代替自签名证书和纯http。有人在生产中使用cacert ssl吗？优点/缺点是什么？它会提高安全性吗？更容易管理吗？有什么意外的吗？它会影响准扫描吗？我该如何说服他们？

当然，公共网站的付费证书将保持不变。

编辑：

（很好奇）公司提供的免费ssl证书似乎不是3类。我必须出示护照，并亲自出示才能从cacerts获得3类。浏览器中是否没有针对每个1类的警告？

无论如何，我对任何免费的CA都会有同样的问题：这比使用自签名纯HTTP 好吗？为什么？

我会这样做是为了简化服务器端的管理。我错过了什么吗？

免责声明：我不是cacert协会成员，甚至不是Assurer，只是普通的快乐用户。

我建议，尽管使用免费证书没有任何问题（例如从CACert获得），但这样做也可能不会有任何好处。

由于默认情况下它们不受任何信任，因此您仍然需要将根证书安装/部署到所有客户端，这与使用自签名证书或内部CA颁发的证书时的情况相同。

我更喜欢（和使用）的解决方案是内部证书颁发机构，并将其根证书大规模部署到所有域计算机上。与使用门户网站相比，控制使用的证书颁发机构可以使证书管理容易得多。使用您自己的CA，通常可以编写证书请求和相应的证书问题的脚本，以便所有服务器，站点以及所有需要证书的东西都可以自动获得证书，并在放入环境后几乎立即被客户端信任， IT无需任何努力或手动任务。

当然，如果您没有完成设置和自动执行自己的CA的任务，那么使用外部免费证书（如您所提到的那样）可以使您的生活更轻松一些，而只需部署一个外部根证书...但是您可能应该尝试在第一时间做对，并为您的域设置内部CA。

我建议使用StartSSL提供的免费SSL证书，现代浏览器也可以识别这些证书。我对CACert毫无异议，只不过它只需要一个帐户即可颁发证书，而且除非您手动安装根证书，否则任何人都不会识别那些证书。

_{强制性的免责声明，因为这是产品推荐：我不以任何方式隶属于StartSSL。只是一个快乐的客户。}

它比使用自签名纯HTTP好吗？为什么？

自签名证书会训练您的用户（和您）习惯性地单击警告，这是一个坏习惯。如果该自签名证书替换为流氓证书怎么办？您的用户会注意到，还是会盲目地点击另一个安全对话框？